使用8个月前的漏洞，就能攻破 7 万台 memcached 服务器！

Posted 2021-05-02 云头条

memcached开源缓存软件中的三个严重安全漏洞得到修复至今已过去了8个月，但是直接暴露在互联网上的70000多台缓存服务器还是没有打上补丁。安全研究人员警告，黑客有可能在它们上面执行恶意代码，或者从系统缓存窃取可能敏感的数据。

memcached是一种软件包，它实施了一种高性能缓存服务器系统，用于将从数据库和API调用获得的数据存储在内存中。这有助于加速动态Web应用，因而非常适用于大型网站和大数据项目。

虽然memcached并不是取代数据库的技术，但是它存储在内存中的数据可能包含用户会话及来自数据库查询的其他敏感信息。正因为如此，这种服务器并不是设计成直接暴露在像互联网这些不可信的环境面前，尽管一些比较新的版本支持基本的身份验证。

早在去年10月，memcached开发人员修复了三个远程代码执行安全漏洞（CVE-2016-8704、CVE-2016-8705和CVE-2016-8706），这些漏洞是由思科系统公司Talos部门的安全研究人员发现并报告的。所有这些漏洞影响memcached用来存储和检索数据的二进制协议，其中一个漏洞存在于简单验证和安全层（SASL）实现方法中。

去年底今年初，几伙攻击者删光了成千上万台公开暴露的数据库里面的数据，包括MongoDB、CouchDB、Hadoop和Elasticsearch集群。在许多情况下，他们向服务器管理员索要赎金以拿回数据，但是没有证明表明他们实际上得逞。

Talos研究人员认为，memcached服务器可能是下一个目标，尤其是鉴于他们在早几个月前发现的漏洞，于是今年2月他们决定对互联网作一系列扫描，确定潜在的攻击面大小。

扫描结果显示，大约108000台memcached服务器直接暴露在互联网上，其中只有24000台需要验证身份。那么多台服务器不用验证身份就任由公众访问，这一点本身够糟糕的了；但是等研究人员还测试了有无存在那三个安全漏洞后，他们发现，只有200台需要验证身份的服务器确实打上了去年10月发布的补丁。其余所有服务器都很容易被人通过SASL安全漏洞来攻破。

总的来说，暴露在互联网上的所有memcached服务器中85000台（占总数的80%左右）缺少去年10月宣布的那三个严重漏洞的安全补丁。

在这106000台服务器中，73400台（占总数的70%）继续很容易受到去年10月就打上补丁的三个漏洞的攻击。已识别的服务器中18000多台需要验证身份，其中99%继续存在SASL安全漏洞。

即使在发送了成千上万封通知邮件后，补丁采用率在6个月内也仅仅提高了10%。

周一Talos研究人员在一篇博文（http://blog.talosintelligence.com/2017/07/memcached-patch-failure.html）中称：“这些类型的安全漏洞的严重性不可低估。这些安全漏洞可能会影响大小企业部署在互联网上的一种主流平台。由于最近一连串的蠕虫攻击钻安全漏洞的空子，这应该向全球各地的管理员敲响了警钟。要是继续采取不闻不问的态度，不法分子就会利用这些安全漏洞，肆虐全球各地的组织，对企业界带来严重的影响。”

这番扫描得出的结论表明，许多Web应用系统的所有者在保护用户的数据方面差强人意。首先，数量多得惊人的memcached服务器直接暴露在互联网上，其中大多数没有使用身份验证机制。就算不存在任何安全漏洞，缓存在这些服务器上的数据也岌岌可危。

其次，即使可能被用来全面危及服务器的严重安全漏洞已有了相应的补丁，许多服务器管理员还是没有及时地打上安全补丁。

在这种情形下，看到针对memcached服务器发动的大规模攻击（比如矛头直指MongoDB数据库的攻击）也就不足为奇了。

相关阅读：